GitHub laat iedereen gratis scannen op in broncode gelekte geheimen

De ethisch hacker in kwestie was Jelle Ursem, tegenwoordig aangesloten bij het Nederlandse DIVD. Hij ontdekte een openbare repository van een werknemer van de Belastingdienst op GitHub, waarin een verwijzing stond naar zijn privéomgeving op GitLab, met de bijbehorende inloggegevens. Ursem logde in en vond in die omgeving talloze wachtwoorden, waaronder de admin-inloggegevens van een Azure-omgeving. “Het is de Belastingdienst, dus ik zat echt te shaken", vertelde hij daar begin dit jaar over aan AG Connect.

Dat specifieke gat werd snel gedicht en Ursem ontving als bedankje een bokaal van de Belastingdienst. Maar dit geval is zeker geen uitzondering. Want hoewel developers weten dat het geen goed idee is om 'secrets' in de code te zetten, gebeurt het wel. GitHub maakte daarom eerder al een secret scanning-dienst beschikbaar voor betalende enterprise-gebruikers. En alleen dit jaar al werden deze betalende klanten op de hoogte gesteld van meer dan 1,7 miljoen mogelijk gelekte secrets, meldt TechCrunch. 

Automatische notificaties voor iedereen

Die dienst wordt nu ook gratis beschikbaar voor alle openbare GitHub-repositories. Gebruikers kunnen de nieuwe feature aanzetten in de beveiligingsfuncties, waarna ze automatisch notificaties ontvangen als er een secret aangetroffen is in de broncode. 

Overigens kan het zo zijn dat de feature nog niet zichtbaar is in de instellingen. GitHub rolt de feature namelijk gefaseerd uit. Eind januari is de tool voor iedereen beschikbaar.